阅读724 返回首页    go 手机大全

创建自定义授权策略__快速入门_访问控制-阿里云

流程位置

Step 4

创建客户自定义的授权策略

进入RAM控制台,在导航栏中选择“授权策略管理”,您可以查看“系统授权策略”和“自定义授权策略”。如下图所示:

授权策略概览

目前,阿里云提供了多种系统授权策略可供用户选择使用。这些授权策略仅仅提供了粗粒度的访问控制能力,比如某个云产品级别的只读权限或所有权限。如果您有更细粒度的授权需求,比如授权用户bob只能对oss://sample_bucket/bob/下的所有对象执行只读操作、而且限制IP来源必须为您的公司网络(可以通过搜索引擎查询“我的IP”来获知您的公司网络IP地址),那么您可以通过创建自定义授权策略来进行访问控制。

在创建自定义授权策略时,您需要了解授权策略语言的基本结构和语法,相关内容的详细描述请参考授权策略语言描述

在了解授权策略语言之后,您通过RAM控制台可以很方便地创建自定义的授权策略。具体步骤如下:

步骤1. 点击“新建授权策略”,打开新建授权策略弹窗:

选择策略模板

步骤2. 选择一个模板(这里选择AliyunOSSReadOnlyAccess),我们可以基于这个模板进行Policy编辑,如下图所示:

编辑自定义策略

我们修改了自定义的授权策略名称,备注和策略内容。上图策略内容中的选中部分是我们新增的细粒度授权限制内容。

自定义策略样例:

  1. {
  2.   "Version": "1",
  3.   "Statement": [
  4.     {
  5.       "Effect": "Allow",
  6.       "Action": [
  7.         "oss:Get*",
  8.         "oss:List*"
  9.       ],
  10.       "Resource": [
  11.           "acs:oss:*:*:samplebucket/bob/*"
  12.       ]
  13.       "Condition": {
  14.         "IpAddress": {
  15.           "acs:SourceIp": "127.0.27.1"
  16.         }
  17.       }
  18.     }
  19.   ]
  20. }

RAM最细可以支持各产品API粒度的授权,即Policy中的Action可以精细到每个API操作。不同云产品的权限定义,需要参考各产品的权限定义文档

步骤3. 策略内容编辑完成后,点击 “新建授权策略” 即可新建自定义授权策略。

如果将这个自定义的授权策略附加给用户bob,那么bob对oss://samplebucket/bob/下的对象有只读操作权限,但限制条件是必须从您的公司网络(假设为121.0.27.1)进行访问。

最后更新:2016-12-12 16:43:34

  上一篇:go 创建RAM用户__快速入门_访问控制-阿里云
  下一篇:go 给RAM用户授权__快速入门_访问控制-阿里云